SOC
Обзор
Отчеты Оценки систем и организации AWS (SOC) представляют собой отчеты независимых сторонних экспертов, в которых показано, как AWS реализует ключевые механизмы управления и решает задачи соответствия требованиям. Цель данных отчетов – дать вам и вашим аудиторам представление о механизмах управления AWS, предназначенных для поддержки эксплуатации и обеспечения соответствия требованиям. Существует три типа отчетов AWS SOC.
- Отчет AWS SOC 1 доступен клиентам AWS на портале AWS Artifact.
- Отчет о безопасности, доступности и конфиденциальности AWS SOC 2 доступен клиентам AWS на портале AWS Artifact.
- Отчет о безопасности, доступности и конфиденциальности AWS SOC 3 находится в открытом доступе в форме технического описания.
Отчеты AWS SOC
- SOC 1
Описание среды средств контроля AWS и внешний аудит определенных средств контроля AWS и выполняемых задач. - SOC 2: безопасность, доступность и конфиденциальность
Описание среды управления AWS и внешний аудит средств контроля AWS, которые соответствуют критериям обеспечения уверенности в безопасности, доступности и конфиденциальности AICPA - SOC 3: безопасность, доступность и конфиденциальность
Публичный отчет, подтверждающий, что AWS соответствует критериям обеспечения уверенности в безопасности, доступности и конфиденциальности AICPA
- SOC 1
SSAE 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), который включает в себя раздел 320 AT-C «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью». Рекомендации AICPA для сервисных организаций: «Отчетность по проверке в сервисной организации средств управления, относящихся ко внутреннему контролю организации пользователя за финансовой отчетностью» (SOC 1®) - SOC 2: безопасность, доступность и конфиденциальность
SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Руководство AICPA по процедурам проверки», «Отчетность сервисной организации о средствах управления, связанных с безопасностью, доступностью, целостностью данных при обработке, конфиденциальностью и защитой личных данных» (SOC 2®) TSP, раздел 100A, «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных 2017» (критерии обеспечения уверенности AICPA, 2017) - SOC 3: безопасность, доступность и конфиденциальность
SSAE 18, Attestation Standards: Clarification and Recodification, который включает раздел 105 AT-C, «Общие принципы всех процедур аттестации» и раздел 205 AT-C, «Процедуры проверки», TSP, раздел 100A, «Критерии обеспечения уверенности в безопасности, доступности, целостности данных при обработке, конфиденциальности и защиты личных данных 2017» (критерии обеспечения уверенности AICPA, 2017 Trust Services Criteria)
- SOC 1
Предоставление клиентам информации о среде управления AWS, которая может быть связана с их внутренними средствами управления финансовой отчетностью.
Предоставление клиентам и их аудиторам информации для проверки и оценки эффективности внутренних средств управления финансовой отчетностью (ICFR). - SOC 2: безопасность, доступность и конфиденциальность
Предоставление клиентам и пользователям с коммерческими потребностями независимой оценки среды управления AWS в отношении безопасности, доступности и конфиденциальности системы. - SOC 3: безопасность, доступность и конфиденциальность
Предоставление клиентам и пользователям с коммерческими потребностями независимой оценки среды управления AWS с точки зрения безопасности, доступности и конфиденциальности без разглашения внутренней информации AWS.
- SOC 1
Управляющие органы клиентов и аудиторы - SOC 2: безопасность, доступность и конфиденциальность
Пользователи с коммерческими запросами - SOC 3: безопасность, доступность и конфиденциальность
Находится в открытом доступе здесь.
- SOC 1
12 месяцев по состоянию на конец кварталов 31.03, 30.06, 30.09 и 31.12. - SOC 2: безопасность, доступность и конфиденциальность
12 месяцев по состоянию на 31.03 и 30.09. - SOC 3: безопасность, доступность и конфиденциальность
12 месяцев по состоянию на 31.03 и 30.09.
Общие вопросы и ответы
Открыть всеПисьмо SOC о продолжении работы (также известное как Bridge Letter или COL) к отчетам AWS SOC 1 и SOC 2 обновляется ежемесячно и доступно в Artifact (название: SOC Continued Operations Letter [Письмо о продолжении операционных процессов SOC]). COL обычно публикуется в первую неделю каждого месяца и охватывает период с даты последнего опубликованного отчета SOC до даты публикации COL.
AWS на SOC
Открыть всеСписок сервисов AWS, на которые распространяется действие отчетов SOC, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и (или) задать вопросы о других, свяжитесь с нами.
Полный список регионов, охваченных программой, приведен в отчете AWS SOC 3.
Аудиты AWS SOC 1, SOC 2 и SOC 3 проводит компания Ernst & Young LLP.
- Весенний цикл: (1 апреля – 31 марта) [SOC 1/2/3 выпущен примерно в конце мая]
- Летний цикл: (1 июля – 30 июня) [SOC 1 выпущен примерно в конце августа]
- Осенний цикл: (1 октября – 30 сентября) [SOC 1/2/3 выпущен примерно в конце ноября]
- Зимний цикл: (1 января – 31 декабря) [SOC 1 выпущен примерно в конце февраля]
AWS публикует отчеты SOC 1 ежеквартально, а отчеты SOC 2 и 3 – два раза в год. Каждый отчет охватывает предыдущие 12 месяцев. На дату публикации отчета влияет множество факторов, но новые отчеты обычно публикуются примерно через 9–10 недель после даты окончания этого периода.
Аудит AWS SOC 1 проводится в соответствии с Международными стандартами подтверждения достоверности информации № 3402 (ISAE 3402). Клиенты, которым требуется отчет ISAE 3402, должны запросить отчет AWS SOC 1 Type II с помощью AWS Artifact – портала самообслуживания, который предоставляет доступ по запросу к отчетам AWS по соответствию нормативным требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
Для просмотра отчетов AWS SOC 1 и SOC 2 нужно заключить соглашение о неразглашении (NDA). Отчет AWS SOC 3 представляет собой краткий обзор отчета AWS SOC 2, находящийся в открытом доступе. В отчете AWS SOC 3 изложено, что по результатам отчета SOC 2 платформа AWS отвечает критериям обеспечения уверенности AICPA. В отчет также включено заключение внешнего аудитора о работе средств управления и контроля. С последним отчетом AWS SOC 3 можно ознакомиться на сайте AWS.
Отчеты AWS SOC 1 и SOC 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
Последняя версия отчета AWS SOC 3 находится в открытом доступе на веб‑сайте AWS.
AWS выпускает отчеты SOC 1 ежеквартально, а SOC 2 и SOC 3 – два раза в год. Каждый отчет охватывает 12-месячный период. При необходимости мы добавим новые регионы в отчеты SOC во время следующего доступного цикла обзора.